Criar e gerenciar políticas de firewall para redes VPC de ULL

Para configurar o Cloud Next Generation Firewall (Cloud NGFW) em redes de nuvem privada virtual (VPC) de latência ultrabaixa (ULL), crie uma política de firewall de rede regional e defina a flag de tipo de política como ULL_POLICY. As redes VPC ULL são diferentes das redes VPC comuns e não são compatíveis com regras de firewall legadas da VPC.

Nesta página, mostramos como configurar regras de política de firewall que se aplicam a redes VPC de ULL.

Antes de começar

  • Verifique se você tem o papel de administrador de segurança do Compute (roles/compute.securityAdmin) para gerenciar políticas de firewall de rede.

  • Verifique se você tem uma rede VPC ULL.

Criar uma política de firewall da ULL

Depois de criar uma rede VPC da ULL, é possível criar uma política de firewall para ela. Ao criar a política, defina o campo policy_type como ULL_POLICY. Só é possível usar políticas de firewall de rede regionais para redes VPC ULL.

gcloud

  1. Para criar uma política de firewall de rede regional da ULL, use o comando gcloud beta compute network-firewall-policies create:

    gcloud beta compute network-firewall-policies create FIREWALL_POLICY_NAME \
    --region=REGION \
    --policy_type=ULL_POLICY

    Substitua os seguintes valores:

    • FIREWALL_POLICY_NAME: o nome da política de firewall de rede.
    • REGION: a região da política de firewall de rede ULL.

Criar regras na política de firewall da ULL

Adicione regras de firewall à sua política de ULL. Para manter a latência baixa, as políticas de ULL são compatíveis com um subconjunto específico de recursos padrão do Cloud NGFW.

gcloud

  1. Para adicionar uma regra à política de firewall de rede ULL, use o comando gcloud compute network-firewall-policies rules create:

    gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy-region=REGION \
    --firewall-policy=FIREWALL_POLICY_NAME \
    --action=allow \
    --direction=DIRECTION \
    --src-ip-ranges=SOURCE_IP_RANGE \
    --layer4-configs=tcp:80,udp:53

    Substitua os seguintes valores:

    • PRIORITY: a ordem de avaliação numérica da regra na política. As prioridades precisam ser exclusivas para cada regra.
    • REGION: a região da política de firewall de rede ULL.
    • FIREWALL_POLICY_NAME: o nome da política de firewall de rede.
    • DIRECTION: a direção do tráfego em que a regra é aplicada.
    • SOURCE_IP_RANGE: os intervalos de endereços IP que podem fazer conexões de entrada que correspondem à regra de firewall para as instâncias na rede. O endereço IP precisa ser especificado no formato roteamento entre domínios sem classe (CIDR).

Associe a política à rede VPC do ULL

Depois de criar a política e definir as regras dela, associe-a à sua rede VPC ULL. A associação valida se o perfil da rede permite o tipo ULL_POLICY.

gcloud

  1. Para associar uma rede VPC da ULL, use o comando gcloud compute network-firewall-policies associations create:

    gcloud compute network-firewall-policies associations create \
    --firewall-policy-region=REGION \
    --firewall-policy=FIREWALL_POLICY_NAME \
    --network=ULL_NETWORK_NAME

    Substitua os seguintes valores:

    • REGION: a região da política de firewall de rede ULL.
    • FIREWALL_POLICY_NAME: o nome da política de firewall de rede.
    • ULL_NETWORK_NAME: o nome da rede VPC da ULL.

A seguir